Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - [Help] XSS (https://forum.antichat.xyz/showthread.php?t=451456)

Здравствуйте

На сайте имеется XSS уязвимость (пасивная), алерт проходит в адресной строке.

Но на этом я и остановился. Как её использовать?

Сформировать ссылку, послать её админу (которого контакт ещё нужно найти), вытянуть куки с админки (локация админки известна)? Но не факт что в контактных данных будет админ с активной сессией админки.

Подскажите, куда двигаться дальше.

Спасибо

CMS известна, правильно?

Можно составить ajax запрос, который выполнит добавление пользователя, с правами администратора. Естественно это должно быть выполнено под сессией админа

Цитата:

Сообщение от bmwx5_developer

bmwx5_developer said:
↑
CMS известна, правильно?
Можно составить ajax запрос, который выполнит добавление пользователя, с правами администратора. Естественно это должно быть выполнено под сессией админа

Скорее всего самопис

Но 2ip нашел почему-то признаки wp

Вот robots.txt

Disallow: /blocks/

Disallow: /bs/

Disallow: /classes/

Disallow: /data/

Disallow: /files/

Disallow: /flags/

Disallow: /fonts/

Disallow: /generator/

Disallow: /info/

Disallow: /Scripts/

Disallow: /server/

Disallow: /tmp/

Disallow: /viev/

Disallow: /web2/